코니(Konni), 병원관련 소송 답변 문서로 위장한 APT 공격 등장
Contents
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
2019년 12월 12일, 알약(ALYac)에 탑재되어 있는 ETI 위협정보 수집기능을 통해 '코니(Konni)' 조직으로 분류된 신규 APT 위협정보가 식별됐습니다.
초기 공격 링크에 'error-hanmail[.]net' 도메인이 사용되었으며, 다시 'mallesr[.]com' C2 주소로 이어집니다.
탐지된 침해지표(IoC)를 분석한 결과, 광주 성형외과 운영관계자 간 법적소송 문건을 담고 있는 악성 한글(HWP)문서가 공격벡터에 활용되었습니다.
ESRC는 그동안 코니 조직이 사용했던 위협패턴과 전술 정황을 고려해 '스피어 피싱(Spear Phishing)'을 통해 악성 문서가 전달되었을 것이라 추정하고 있습니다.
이번 공격에 사용된 악성 파일명에 실제 성형외과의 대표명이 포함되어 있어 일부 * 표시했습니다.
파일명 |
최종 수정자 |
최종 수정일 | C2 | MD5 |
이** 답변서 최정본.hwp |
Administrator |
2019-12-09 08:30:24 (UTC) | error-hanmail[.]net | bbde7c694faf6b450adbfc8efe88a41a |
위협 배후가 준비한 도메인과 이메일 주소를 정리하면 다음과 같고, 코니 시리즈는 주로 'rambler[.]ru' 러시아 이메일을 사용하고 있습니다.
- error-hanmail[.]net (198.252.103[.]74)
- mallesr[.]com (27.255.81[.]59)
- nottingham39483[.]com (45.58.121[.]194)
- error-naver[.]com (198.252.103[.]74)
- down-error2[.]com (198.252.102[.]112)
- kan-smiko[.]com (172.96.186[.]193)
- kani_smiko@rambler[.]ru
- birmingham1956@rambler[.]ru
HWP 문서 파일 내부에는 악성 포스트 스크립트(Post Script) 코드가 포함되어 있습니다.
[그림 1] 악성 포스트 스크립트가 포함되어 있는 화면
포스트 스크립트에는 16바이트로 구성된 XOR키를 통해 복호화가 진행이 됩니다.
0 …
2019년 12월 12일, 알약(ALYac)에 탑재되어 있는 ETI 위협정보 수집기능을 통해 '코니(Konni)' 조직으로 분류된 신규 APT 위협정보가 식별됐습니다.
초기 공격 링크에 'error-hanmail[.]net' 도메인이 사용되었으며, 다시 'mallesr[.]com' C2 주소로 이어집니다.
탐지된 침해지표(IoC)를 분석한 결과, 광주 성형외과 운영관계자 간 법적소송 문건을 담고 있는 악성 한글(HWP)문서가 공격벡터에 활용되었습니다.
ESRC는 그동안 코니 조직이 사용했던 위협패턴과 전술 정황을 고려해 '스피어 피싱(Spear Phishing)'을 통해 악성 문서가 전달되었을 것이라 추정하고 있습니다.
이번 공격에 사용된 악성 파일명에 실제 성형외과의 대표명이 포함되어 있어 일부 * 표시했습니다.
파일명 |
최종 수정자 |
최종 수정일 | C2 | MD5 |
이** 답변서 최정본.hwp |
Administrator |
2019-12-09 08:30:24 (UTC) | error-hanmail[.]net | bbde7c694faf6b450adbfc8efe88a41a |
위협 배후가 준비한 도메인과 이메일 주소를 정리하면 다음과 같고, 코니 시리즈는 주로 'rambler[.]ru' 러시아 이메일을 사용하고 있습니다.
- error-hanmail[.]net (198.252.103[.]74)
- mallesr[.]com (27.255.81[.]59)
- nottingham39483[.]com (45.58.121[.]194)
- error-naver[.]com (198.252.103[.]74)
- down-error2[.]com (198.252.102[.]112)
- kan-smiko[.]com (172.96.186[.]193)
- kani_smiko@rambler[.]ru
- birmingham1956@rambler[.]ru
HWP 문서 파일 내부에는 악성 포스트 스크립트(Post Script) 코드가 포함되어 있습니다.
[그림 1] 악성 포스트 스크립트가 포함되어 있는 화면
포스트 스크립트에는 16바이트로 구성된 XOR키를 통해 복호화가 진행이 됩니다.
0 …
IoC
172.96.186.193
198.252.102.112
198.252.103.74
27.255.81.59
296BD6EB2CA90321BBEF5F5F4CFC10EC
45.58.121.194
bbde7c694faf6b450adbfc8efe88a41a
[email protected]
http://172.96.186.193
http://198.252.102.112
http://198.252.103.74
http://27.255.81.59
http://45.58.121.194
http://down-error2.com
http://error-hanmail.net
http://error-naver.com
http://kan-smiko.com
http://mallesr.com
http://nottingham39483.com
http://rambler.ru
198.252.102.112
198.252.103.74
27.255.81.59
296BD6EB2CA90321BBEF5F5F4CFC10EC
45.58.121.194
bbde7c694faf6b450adbfc8efe88a41a
[email protected]
http://172.96.186.193
http://198.252.102.112
http://198.252.103.74
http://27.255.81.59
http://45.58.121.194
http://down-error2.com
http://error-hanmail.net
http://error-naver.com
http://kan-smiko.com
http://mallesr.com
http://nottingham39483.com
http://rambler.ru